Vários campos científicos utilizam o conceito de informação dentro de seu próprio contexto e de acordo com determinados fenômenos específicos, o que o torna um conceito interdisciplinar suscitando em diversas teorias e abordagens com diferentes perspectivas (CAPURRO; HJØRLAND, 2003). Nesse estudo, o conceito de informação que nos interessa é o contido na norma 27002:2013 da Associação Brasileira de Normas Técnicas (ABNT) que considera a informação como um ativo e “[...] como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.” (ABNT – NBR 27002, 2013, p. x).
A informação pode estar contida em diversos suportes/mídias. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Independente de qual seja a maneira na qual é apresentada ou a forma de compartilhamento/armazenamento da informação, recomenda-se a sua adequada proteção com vista a assegurar a competitividade, a lucratividade e a imagem da organização junto ao mercado (ABNT – NBR 27002, 2013).
Conforme Dantas (2011, p. 9), a informação, devido à sua importância, tem sido imprescindível “na manutenção dos negócios e realização de novos empreendimentos entre pessoas, empresas, povos, nações e blocos econômicos”.
A importância da informação também é destacada pelo Tribunal de Contas da União (BRASIL, 2012, p. 10) que considera a informação “um ativo muito importante para qualquer instituição, podendo ser considerada, atualmente, o recurso patrimonial mais crítico”. Também ressaltada pela Secretaria de Assuntos Estratégicos (SAE) da Presidência da República, na atual Era do Conhecimento a informação:
foi alçada à categoria de ativo estratégico para organizações e Estados- Nação, conferindo àqueles que a detém e dela se utilizam, efetiva e oportunamente, uma inquestionável vantagem no ambiente competitivo e nos contenciosos internacionais (CARVALHO, 2011, p. 15).
Pode-se inferir que a informação tem a capacidade de explorar oportunidades, reduzir incertezas, melhorar a relação entre os diversos interessados e contribuir para o desenvolvimento econômico tanto de empresas quanto do país, e, nesse sentido, é necessário que se busque maneiras de garantir sua segurança contra qualquer tipo de ameaça.
A Norma 27000:2014 da International Standards Organization (ISO) define segurança da informação como a proteção contra qualquer tipo de ameaça que possa comprometer a confidencialidade, integridade e/ou a disponibilidade da informação. A Instrução Normativa nº. 1 de 13 de junho de 2008, emitida pelo Gabinete de Segurança Institucional da Presidência da República adiciona à segurança da informação o termo “comunicações” e considera que Segurança da Informação e Comunicações são “ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações” (BRASIL, 2008a, p. 2).
Uma definição mais ampla é dada pelo Decreto Presidencial nº. 3.505 de 13 de junho de 2000, que conceitua segurança da informação como a:
[...] proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações
e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (BRASIL, 2000c).
Como já explicitado, a informação é considerada um ativo, e como tal, possui valor. O valor de uma informação decorre diretamente de conseguir garantir três características fundamentais da informação: i) a integridade; ii) a disponibilidade e iii) a confidencialidade (WHITMAN; MATTORD, 2011; DANTAS, 2011). Ainda segundo os autores, essas características formam os princípios da segurança da informação.
A importância das características que formam os princípios da segurança da informação é ressaltada pela ABNT 27002 (2013, p. 19), ao afirmar que o nível de proteção da informação pode ser avaliado “por meio da análise da confidencialidade, integridade e disponibilidade [...]”. Conforme Dantas (2011), qualquer ação que comprometa qualquer um dos três princípios é um atentado contra a segurança da informação.
2.3.1 Integridade
A definição técnica da ISO 27000 (2014) conceitua integridade como a propriedade de proteger a exatidão e a plenitude dos ativos. Em outras palavras o TCU explicita que integridade consiste na fidedignidade de informações como também:
Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital (BRASIL, 2012, p. 9).
A integridade das informações é fundamental aos sistemas de informação, pois a informação não possuirá nenhum valor se os usuários não puderem verificar sua integridade (WHITMAN; MATTORD, 2011).
2.3.2 Disponibilidade
A disponibilidade é propriedade de que “a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou
entidade” (BRASIL, 2008a, p. 2). A disponibilidade de uma informação é a garantia de que ela esteja disponível sempre que necessário às pessoas e aos processos autorizados e preservar sua disponibilidade “pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito” (BRASIL, 2012, p. 10).
2.3.3 Confidencialidade
A informação tem confidencialidade quando é protegida contra divulgação ou exposição a pessoas ou sistemas não autorizados. Confidencialidade garante que apenas aqueles com os direitos e privilégios de acesso à informação são capazes de fazê-lo (WHITMAN; MATTORD, 2011). O TCU considera que manter a confidencialidade “pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento” (BRASIL, 2012, p. 9).
Além dessas três propriedades básicas que asseguram a informação, a ISO 27000 (2013) também destacou que outras propriedades poderiam ser envolvidas a fim de possibilitar a segurança da informação, a saber: i) autenticidade; ii) responsabilidade; iii) não repúdio e iv) confiabilidade. Conforme explicitado por Dantas (2011, p. 15):
[...] a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser. A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente, e expressa uma verdade. O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu, e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário.
Observa-se que, com o desenvolvimento constante dos meios e tecnologias de comunicação, vem sendo necessário, além dos três pilares básicos para a segurança da informação, que outras premissas sejam discutidas e incorporadas ao tema a fim de assegurar sua proteção contra qualquer tipo de ameaça que ponha em risco o seu valor. Em função do aumento da interconectividade entre redes públicas e privadas, a informação é submetida a uma grande variedade, sempre crescente, de ameaças, entre elas: fraudes eletrônicas, espionagem, sabotagem,
vandalismo, fogo, inundação, blackouts, códigos maliciosos, hackers, ataques de DDoS, entre outras.